シングルサインオンとは何か
シングルサインオン(SSO)とは
1つのIDとパスワードで複数のサービスにログインできる仕組み
シングルサインオンの仕組み(4種)
代行認証方式
クライアントの代わりに専用エージェントが代行して各システムのID・パスワードを入力する方式
詳細な仕組み
- 専用エージェントがユーザー認証を行う
- アカウント情報DBから各システムのID・パスワードを取得
- ID・パスワード等をメモリ上に保持
- 各システムのログイン画面を検知し、ID・パスワードを自動入力
導入に必要なもの
- クライアントPCに専用のエージェントを導入
- アカウント情報DBに接続できる環境
特徴
- 導入するシステムの制限が少ない
- クライアントサーバシステムにも導入可能
リバースプロキシ方式
リバースプロキシという中継サーバを介して認証を行う
詳細な仕組み
- リバースプロキシサーバに対してWeb認証を実施
- リバースプロキシサーバから認証済みCookieが発行される
- ログインしたいサービスに対してリバースプロキシサーバ経由でアクセス
導入に必要なもの
- リバースプロキシサーバ(とここを経由する設計)
特徴
- 既存システムへの影響なく事前検証ができる
- 導入から開始までの工数を短縮しやすい
エージェント方式
詳細な仕組み
- エージェントを導入したWebシステムにWeb認証を実施。
- WebシステムはSSOサーバに対して認証チェックを実施
- Webシステムから認証済みCookieが発行される
- Cookieを保持して各Webシステムにアクセスする
- SSOサーバがアクセス権限をチェック
導入に必要なもの
- SSOサーバ
- 導入するエージェントに対応しているSSOシステム
特徴
- リバースプロキシ方式に比べアクセス集中によるボトルネックが発生しにくい
- 既存のネットワーク環境に変更を加えなくていい
- エージェントに対応していないシステムには導入できない
SAML認証方式(Security Assertion Markup Language)
主にクラウドのリソースを含めたSSO実装に使う仕組み
詳細な仕組み
- クラウドサービス(Service Provider)へアクセスする
- IdP(Identity Provider)に対する認証要求(SAML)を生成し、IdPへリダイレクト
- IdPはSPからの認証要求を受けてクライアントに認証要求実施(ログイン画面表示)
- ユーザー認証実施
- ログイン成功後、IdPは認証応答(SAML)を生成し、SPへリダイレクト
- SPはIdPより送られた認証応答(SAML)を受けて検証し、クラウドサービスへの自動ログインを実施
- 自動ログイン後、クラウドサービス画面が表示
SAML(Security Assertion Markup Language)とは
異なるインターネットドメイン間でユーザー認証を行うための標準規格。
特徴
Google WorkspaceやMicrosoft365などのクラウドサービスがSAMLに対応
参考
【図解つき】シングルサインオン(SSO)とは?機能や仕組み、導入メリット、デメリットをわかりやすく解説! | mobiconnect(モビコネクト)
